问题描述
根据文档的说明,建议对Azure前门与后端服务之间的通信进行重新加密,因为它使用公用IP地址:Azure Front Door FAQ
但是,如果Azure前门正在路由流量,例如到AKS群集(在AKS之前使用Azure负载平衡器)。
AFD和AKS之间的TLS是否必要?是否可以安全地假设流量一旦到达AFD,便再也不会离开Microsoft骨干网(那么我会说从AFD到AKS的重新加密是没有必要的)?
解决方法
AFD和AKS之间是否需要TLS?
我说那真的是你自己的选择。
可以安全地假定流量一旦到达AFD,便再也不会离开Microsoft主干网了?
这是前门的想法,是的。流量进入靠近客户端的Edge节点(例如法国)。从那里到您后端的流量(例如,在美国的Azure West)在Microsoft主干网中传输。如果您愿意或不想对这条可能很长的路由进行加密,则完全取决于您和您的要求。
引用官方documentation:
实际上,由于与后端的连接是通过公共端进行的 IP,建议您将前门配置为使用HTTPS 作为转发协议。